REL02-BP01 Verwenden Sie hochverfügbare Netzwerkkonnektivität für Ihre öffentlichen Workload-Endpunkte

Durch den Aufbau hochverfügbarer Netzwerkkonnektivität zu öffentlichen Endpunkten Ihrer Workloads können Sie Ausfallzeiten aufgrund von Verbindungsverlusten reduzieren und die Verfügbarkeit und Arbeitslast verbessern. SLA Verwenden Sie dazu hochverfügbare Content Delivery Networks (CDNs)DNS, API Gateways, Load Balancing oder Reverse-Proxys.

Gewünschtes Ergebnis: Es ist von entscheidender Bedeutung, eine hochverfügbare Netzwerkkonnektivität für Ihre öffentlichen Endpunkte zu planen, aufzubauen und in Betrieb zu nehmen. Wenn Ihr Workload aufgrund eines Konnektivitätsverlustes nicht mehr erreichbar ist, sehen Ihre Kunden Ihr System als ausgefallen an – selbst wenn Ihr Workload läuft und verfügbar ist. Durch die Kombination einer hochverfügbaren und stabilen Netzwerkkonnektivität für die öffentlichen Endpunkte Ihres Workloads mit einer stabilen Architektur für Ihren Workload selbst können Sie Ihren Kunden die bestmögliche Verfügbarkeit und das bestmögliche Serviceniveau bieten.

AWS Global Accelerator, Amazon CloudFront, Amazon API Gateway URLs AWS AppSync APIs, AWS Lambda Function und Elastic Load Balancing (ELB) bieten allesamt hochverfügbare öffentliche Endpunkte. Amazon Route 53 bietet einen hochverfügbaren DNS Service für die Auflösung von Domainnamen, um zu überprüfen, ob Ihre öffentlichen Endpunktadressen aufgelöst werden können.

Sie können auch AWS Marketplace Software-Appliances für Lastenausgleich und Proxying testen.

Typische Anti-Muster:

• Entwurf eines hochverfügbaren Workloads ohne vorherige Planung DNS und Netzwerkkonnektivität für hohe Verfügbarkeit.

• Verwendung öffentlicher Internetadressen auf einzelnen Instances oder Containern und Verwaltung der Konnektivität zu diesen Instanzen mitDNS.

• Verwendung von IP-Adressen anstelle von Domain-Namen zur Lokalisierung von Services.

• Keine Tests von Szenarien, in denen die Konnektivität zu Ihren öffentlichen Endpunkten verloren geht.

• Keine Analyse des Bedarfs für den Netzwerkdurchsatz und die Verteilungsmuster im Netzwerk.

• Keine Tests und Planungen für Szenarien, in denen die Internet-Netzwerkkonnektivität zu Ihren öffentlichen Endpunkten der Workloads unterbrochen werden könnte.

• Bereitstellen von Inhalten (z. B. Webseiten, statische Komponenten oder Mediendateien) für ein großes geografisches Gebiet ohne Verwendung eines Content-Delivery-Networks.

• Distributed-Denial-of-Service (DDoS) -Angriffe sind nicht geplant. DDoSBei Angriffen besteht die Gefahr, dass legitimer Datenverkehr gesperrt und die Verfügbarkeit für Ihre Benutzer beeinträchtigt wird.

Vorteile der Nutzung dieser bewährten Methode: Die Planung einer hochverfügbaren und stabilen Netzwerkkonnektivität stellt sicher, dass Ihr Workload für Ihre Benutzer zugreifbar und verfügbar ist.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Das Wichtigste beim Aufbau einer hochverfügbaren Netzwerkkonnektivität zu Ihren öffentlichen Endpunkten ist das Routing des Datenverkehrs. Um zu überprüfen, ob Ihr Datenverkehr die Endgeräte erreichen kann, DNS müssen diese in der Lage sein, die Domainnamen in die entsprechenden IP-Adressen aufzulösen. Verwenden Sie ein hochverfügbares und skalierbares Domain Name System (DNS) wie Amazon Route 53, um die DNS Datensätze Ihrer Domain zu verwalten. Sie können außerdem die von Amazon Route 53 bereitgestellten Zustandsprüfungen verwenden. Die Integritätsprüfungen stellen sicher, dass Ihre Anwendung erreichbar, verfügbar und funktionsfähig ist. Sie können auch so eingerichtet werden, dass sie das Verhalten Ihres Benutzers nachahmen, z. B. das Anfordern einer Webseite oder einer bestimmten URL Website. Im Falle eines Fehlers reagiert Amazon Route 53 auf DNS Lösungsanfragen und leitet den Datenverkehr nur an fehlerfreie Endpunkte weiter. Sie können auch die von Amazon Route 53 angebotenen geo DNS - und latenzbasierten Routing-Funktionen in Betracht ziehen.

Verwenden Sie Elastic Load Balancing (ELB), um zu überprüfen, ob Ihr Workload selbst hochverfügbar ist. Amazon Route 53 kann verwendet werdenELB, um den Traffic gezielt auf die Ziel-Compute-Instances zu verteilen. Sie können Amazon API Gateway auch zusammen mit AWS Lambda für eine serverlose Lösung verwenden. Kunden können Workloads auch in mehreren ausführen. AWS-Regionen Mit einem Multi-Site Aktiv/Aktiv-Muster kann der Workload den Datenverkehr aus mehreren Regionen bedienen. Bei einem Multi-Site Aktiv/Passiv-Muster bedient der Workload den Datenverkehr aus der aktiven Region, während die Daten in die sekundäre Region repliziert werden, die im Falle eines Fehlers in der primären Region aktiv wird. Route 53-Zustandsprüfungen können dann verwendet werden, um den DNS Failover von einem beliebigen Endpunkt in einer primären Region zu einem Endpunkt in einer sekundären Region zu kontrollieren und so zu überprüfen, ob Ihr Workload erreichbar und für Ihre Benutzer verfügbar ist.

Amazon CloudFront bietet eine einfache MöglichkeitAPI, Inhalte mit geringer Latenz und hohen Datenübertragungsraten zu verteilen, indem Anfragen über ein Netzwerk von Edge-Standorten auf der ganzen Welt bearbeitet werden. Content Delivery Networks (CDNs) bedienen Kunden, indem sie Inhalte bereitstellen, die sich an einem Ort in der Nähe des Benutzers befinden oder dort zwischengespeichert werden. Dadurch wird auch die Verfügbarkeit Ihrer Anwendung verbessert, da die Last für Inhalte von Ihren Servern zu CloudFront den Edge-Standorten verlagert wird. Die Edge-Standorte und regionalen Edge-Caches halten zwischengespeicherte Kopien Ihrer Inhalte in der Nähe Ihrer Benutzer vor, was einen schnellen Abruf ermöglicht und die Erreichbarkeit und Verfügbarkeit Ihres Workloads erhöht.

Bei Workloads mit geografisch verteilten Benutzern können Sie AWS Global Accelerator so die Verfügbarkeit und Leistung der Anwendungen verbessern. AWS Global Accelerator stellt statische Anycast-IP-Adressen bereit, die als fester Einstiegspunkt für Ihre in einer oder mehreren gehosteten Anwendungen dienen. AWS-Regionen Dadurch kann der Datenverkehr so nah wie möglich an Ihren Benutzern in das AWS globale Netzwerk gelangen, was die Erreichbarkeit und Verfügbarkeit Ihrer Workloads verbessert. AWS Global Accelerator überwacht außerdem den Zustand Ihrer Anwendungsendpunkte mithilfe von TCPHTTP, und Integritätsprüfungen. HTTPS Jede Änderung im Zustand oder in der Konfiguration Ihrer Endpunkte leitet den Benutzerverkehr auf funktionierende Endpunkte weiter, die Ihren Benutzern die beste Leistung und Verfügbarkeit bieten. Darüber hinaus AWS Global Accelerator verfügt es über ein fehlerisolierendes Design, das zwei statische IPv4 Adressen verwendet, die von unabhängigen Netzwerkzonen bedient werden, wodurch die Verfügbarkeit Ihrer Anwendungen erhöht wird.

Um Kunden vor DDoS Angriffen zu schützen, bietet AWS AWS Shield Standard Shield Standard wird automatisch aktiviert und schützt vor gängigen Infrastrukturangriffen (Layer 3 und 4) wie SYN UDP /Floods und Reflection-Angriffen, um die Hochverfügbarkeit Ihrer Anwendungen zu gewährleisten AWS. Für zusätzlichen Schutz vor ausgefeilteren und größeren Angriffen (wie UDP Floods), State Exhaution-Angriffen (wie TCP SYN Floods) und zum Schutz Ihrer Anwendungen, die auf Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing (ELB) CloudFront AWS Global Accelerator, Amazon und Route 53 ausgeführt werden, können Sie die Verwendung von AWS Shield Advanced Verwenden Sie zum Schutz vor Angriffen auf Anwendungsebene wie HTTP POST GET Überschwemmungen. AWS WAF AWS WAF kann IP-Adressen, HTTP Header, HTTP Textkörper, URI Zeichenketten, SQL Injection und Cross-Site-Scripting-Bedingungen verwenden, um zu bestimmen, ob eine Anfrage blockiert oder zugelassen werden soll.

Implementierungsschritte

1. Hochverfügbar einrichtenDNS: Amazon Route 53 ist ein hochverfügbarer und skalierbarer Domain Name System (DNS) -Webservice. Route 53 verbindet Benutzeranfragen mit Internetanwendungen, die vor Ort AWS oder vor Ort ausgeführt werden. Weitere Informationen finden Sie unter Amazon Route 53 als Ihren DNS Service konfigurieren.

2. Richten Sie Zustandsprüfungen ein: Wenn Sie Amazon Route 53 verwenden, vergewissern Sie sich, dass nur korrekt funktionierende Ziele auflösbar sind. Erstellen Sie zunächst Route 53-Zustandsprüfungen und konfigurieren Sie das DNS Failover. Bei der Einrichtung von Zustandsprüfungen sind die folgenden Aspekte zu beachten:

   1. So ermittelt Amazon Route 53, ob eine Zustandsprüfung fehlerfrei ist

   2. Erstellen, Aktualisieren und Löschen von Zustandsprüfungen

   3. Den Status von Zustandsprüfungen überwachen und Benachrichtigungen erhalten

   4. Bewährte Methoden für Amazon Route 53 DNS

3. Connect Sie Ihren DNS Service mit Ihren Endpunkten.

   1. Wenn Sie Elastic Load Balancing als Ziel für Ihren Datenverkehr verwenden, erstellen Sie einen Alias-Eintrag mit Amazon Route 53, der auf den regionalen Endpunkt Ihres Load-Balancers verweist. Setzen Sie bei der Erstellung des Alias-Eintrags die Option „Zielzustand evaluieren“ auf „Ja“. Setzen Sie bei der Erstellung des Alias-Eintrags die Option „Zielzustand evaluieren“ auf „Ja“.

   2. Verwenden Sie für serverlose oder private Workloads, APIs wenn API Gateway verwendet wird, Route 53, um den Verkehr an Gateway weiterzuleiten. API

4. Entscheiden Sie sich für ein Content Delivery Netzwerk.

   1. Für die Bereitstellung von Inhalten über Edge-Standorte, die näher am Benutzer liegen, sollten Sie zunächst verstehen, wie Inhalte bereitgestellt werden CloudFront .

   2. Beginnen Sie mit einer einfachen CloudFront Verteilung. CloudFront weiß dann, woher die Inhalte geliefert werden sollen, und weiß, wie die Bereitstellung von Inhalten nachverfolgt und verwaltet werden kann. Es ist wichtig, die folgenden Aspekte zu verstehen und zu berücksichtigen, wenn Sie die CloudFront Verteilung einrichten:

      1. So funktioniert das Caching mit CloudFront Edge-Standorten

      2. Erhöhung des Anteils der Anfragen, die direkt von den CloudFront Caches aus bedient werden (Cache-Trefferquote)

      3. Amazon CloudFront Origin Shield verwenden

      4. Optimierung der Hochverfügbarkeit mit CloudFront Origin-Failover

5. Schutz auf Anwendungsebene einrichten: AWS WAF Schützt Sie vor gängigen Web-Exploits und Bots, die die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen verbrauchen können. Weitere Informationen dazu finden Sie unter Erste Schritte mit. Erfahren Sie, wie das AWS WAF funktioniert und wann Sie bereit sind, Schutzmaßnahmen gegen HTTP POST AND GET Fluten auf Anwendungsebene zu implementieren. AWS WAF Sie können AWS WAF dies auch in der CloudFront Dokumentation zur AWS WAF Funktionsweise mit CloudFront Amazon-Funktionen nachlesen.

6. Richten Sie zusätzlichen DDoS Schutz ein: Standardmäßig erhalten alle AWS Kunden ohne zusätzliche Kosten Schutz vor den häufigsten DDoS Angriffen auf Netzwerk- und Transportebene, die AWS Shield Standard auf Ihre Website oder Anwendung abzielen. Für zusätzlichen Schutz von mit dem Internet verbundenen Anwendungen, die auf AmazonEC2, Elastic Load Balancing CloudFront, Amazon und Amazon Route 53 ausgeführt werden AWS Global Accelerator, können Sie Beispiele für DDoS belastbare Architekturen in Betracht ziehen AWS Shield Advancedund überprüfen. Informationen zum Schutz Ihres Workloads und Ihrer öffentlichen Endgeräte vor DDoS Angriffen finden Sie unter Erste Schritte mit. AWS Shield Advanced

Ressourcen

Zugehörige bewährte Methoden:

• REL10-BP01 Stellen Sie den Workload an mehreren Standorten bereit

• REL10-BP02 Wählen Sie die geeigneten Standorte für Ihren Einsatz an mehreren Standorten

• REL11-BP04 Verlassen Sie sich bei der Wiederherstellung auf die Datenebene und nicht auf die Steuerebene

• REL11-BP06 Benachrichtigungen senden, wenn Ereignisse die Verfügbarkeit beeinträchtigen

Zugehörige Dokumente:

• APNPartner: Partner, die Ihnen bei der Planung Ihres Netzwerks helfen können

• AWS Marketplace für Netzwerkinfrastruktur

• Was ist AWS Global Accelerator?

• Was ist Amazon CloudFront?

• Was ist Amazon Route 53?

• Was ist Elastic Load Balancing?

• Network Connectivity capability - Establishing Your Cloud Foundations

• Was ist Amazon API Gateway?

• Was sind AWS WAFAWS Shield, und AWS Firewall Manager?

• Was ist Amazon Application Recovery Controller?

• Konfigurieren Sie benutzerdefinierte Integritätsprüfungen für DNS Failover

Zugehörige Videos:

• AWS re:Invent 2022 — Verbessern Sie Leistung und Verfügbarkeit mit AWS Global Accelerator

• AWS re:Invent 2020: Globales Verkehrsmanagement mit Amazon Route 53

• AWS re:Invent 2022 — Betrieb hochverfügbarer Multi-AZ-Anwendungen

• AWS re:Invent 2022 — Tauchen Sie tief in die Netzwerkinfrastruktur ein AWS

• AWS re:Invent 2022 — Aufbau belastbarer Netzwerke

Zugehörige Beispiele:

• Notfallwiederherstellung mit Amazon Application Recovery Controller (ARC)

• Workshops zur Zuverlässigkeit

• AWS Global Accelerator Werkstatt